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(57) Abstract: The aim of the invention is to permit the automatic identification of access rights to protected areas in networks, in 
particular on the Internet. This is achieved by a method for automatically identifying access rights to protected areas in a first network 
(2) using a unique connection identifier of a second network (1), in particular in the interconnection of networks that constitutes the 
Internet. According to the invention: a unique identifier of the first network (2) is dynamically or statically assigned to a terminal, 
during or prior to the latter' s connection to the first network (2); a combination of at least the unique connection identifier of the 
second network (1) and the unique identifier of the first network (2), said combination being stored in an authentication unit (16), is 
polled when the terminal requests access to the protected area, in order to determine the unique connection identifier of the second 
network (1) using the unique identifier of the first network (2); and the existence of access rights to the protected area for the unique 
connection identifier of the second network (1) is then verified. 



fS (57) Zusammenfassung: Um eine automatische Identifizierung von ZugrifTsrechten auf geschiitzte Bereiche in Netzwerken, insbe- 

Osondere im Internet zu ermSglichen, sieht die vorliegende Erfindung ein Verfahren zum automatischen Erkennen eines Zugriffsrechts 
^ auf geschiitzte Bereiche in einem ersten Netz (2) unter Verwendung einer eindeutigen Anschlusskennung eines zweiten Netzes (1), 
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insbesondere im Netzverbund des Internets, vor, bei dem eine dynamische oder statische Zuordnung einer eindeutigen Kennung des 
ersten Netzes (2) fUr einen Terminal, bei bzw. vor seinem Verbindungsaufbau mit dem ersten Netz (2) erfolgt, eine Kombination aus 
wenigstens der eindeutigen Anschlusskennung des zweiten Netzes (1) und der eindeutigen Kennung des ersten Netzes (2) in einer 
Authentifizierungseinheit (16) zum Ermitteln der eindeutigen Anschlusskennung des zweiten Netzes (1) anhand der eindeutigen 
Kennung des ersten Netzes (2) abgefragt wird, wenn der Terminal auf den geschutzten Bereich zugreifen m8chte, und gepruft wird, 
ob flir die eindeutige Anschlusskennung des zweiten Netzes (1) ein Zugriffsrecht fur den geschutzten Bereich besteht. 
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AUTOMATISCHE ANSCHLUSSBEZOGENE TERMINAL-ODER NUTZERAUTHENTIFIZIERUNG IN 
KOMMUNI KAT I ONSNETZEN 



Die vorliegende Erfindung bezieht sich auf eine automatische Terminal- oder 
Nutzeridentifizierung in Netzwerken, insbesondere im Netzverbund des Inter- 
nets, und insbesondere auf ein Verfahren zum automatischen Erkennen eines 
Zugriffsrechts auf geschiitzte Bereiche in Netzwerken, insbesondere im Netz- 
verbund des Internet, wobei der Begriff geschutzter Bereich jegliche nicht frei 
verfiigbaren Transaktionen umfasst. 

Die Handhabung von sensiblen Daten oder Transaktionen unter Ausschlufc 
Unberechtigter in Netzwerken, insbesondere im frei zuganglichen Internet 
stellt groRe Sicherheitsprobleme dar. Einerseits mdssen zunachst Zugriffs- 
rechte fur die Transaktionen unter AusschluR Unberechtigter sichergestellt 
werden und andererseits muss anschlieSend eine sichere Obertragung der 
Daten erfolgen. Die vorliegende Erfindung befasst sich mit dem ersten dieser 
Probleme, namlich der PrQfung, ob ein Terminal, der Transaktionen unter 
Ausschluli Unberechtigter durchfuhrt, auch Zugriffsrechte hierfur besitzt. 

Ein Obliches Verfahren zur Identifizierung eines Terminals oder Nutzers fur 
die Lieferung einer bestimmten Leistung, wie zum Beispiel den Zugriff auf ge- 
schutzte Bereiche im Internet, ist die Abfrage eines Benutzemamens und ei- 
nes Passwortes. Ein solches Verfahren, bei dem ein Benutzername und 
Passwort abgefragt wird, sieht eine relativ hohe Sicherheit hinsichtlich der 
Identifizierung des Nutzers vor. Bei diesem Verfahren ist es jedoch notwendig, 
dass sich der Nutzer zunachst in irgendeiner Form registrieren lassen muss, 
urn einen gewQnschten Bereich zu nutzen. Dies hat fur den Nutzer zur Folge, 
dass er ggf. persdnliche Daten fur die Registrierung bereitstellen muss, ohne 
dass ihm dies Recht ware. Daruber hinaus schreiben sich Nutzer heutzutage 
haufig Benutzernamen und Passwdrter nieder, da sie zu viele Passworter 
oder Pins, z.B. fur den Zugriff auf den eigenen Rechner, die Kontokarte, die 
Kreditkarte etc. verwalten mDssen. Das Niederschreiben birgt jedoch bekann- 
termallen ein Sicherheitsrisiko. FQr den entsprechenden Anbieter des Diens- 
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tes bedeutet dies ferner, dass eine entsprechend leistungsfahige Kundenda- 
tenverwaltung vorgesehen ist, die in der Regel manueller Pflege bedarf. 



FQr den Anbieter einer bestimmten Leistung ist es aber oft nicht notwendig, 
5 dass der Empfanger der Leistung sich bei ihm in irgendeiner Form registriert. 
So ist z.B. der Kunde beim offenen Call-by-Call Oder beim offenen Internet-by- 
Call fOr den Netzbetreiber (Anbieter) anonym. Dem Netzbetreiber, sind ledig- 
lich die Anruf-Rufnummer, d.h. eine eindeutige Anschlulikennung eines an- 
sonsten anonymen Kunden, die Zielrufnummer und die Dauer des Anrufs be- 
10 kannt. Zur Abrechnung werden diese Daten in der Regel zum Inkasso an die 
Telefongesellschaft des Kunden, beispielsweise die Deutsche Telekom AG, 
Qbermittelt. Dabei kann der Kunde fur den Anbieter einer bestimmten Leistung 
vollig anonym bleiben, da aufter der eindeutigen Anschlufikennung keine wei- 
teren Informationen Ober den Kunden erforderlich sind. 

15 

M5chte der Netzbetreiber oder Dienstanbieter dem jeweiligen Kunden jedoch 
Transaktionen unter AusschluR unberechtigter Dritter Anbieten, beispielswei- 
se vertrauliche Daten - wie einen Einzelverbindungsnachweis - zur VerfOgung 
stellen oder den Zugriff auf andere geschGtzte Bereiche ermoglichen, so war 
20 dies bisher nur mit einer vorherigen Registrierung mOglich, um sicherzustel- 
len, dass nur autorisierte Terminals auf die jeweiligen Daten zugreifen k6n- 
nen. 



Der vorliegenden Erfindung liegt daher die Aufgabe zugrunde, eine automati- 
25 sche Identifizierung von Zugriffsrechten auf geschdtzte Bereiche in Netzwer- 
ken, insbesondere im Internet zu ermOglichen. 

Erfindungsgemaii wird diese Aufgabe bei einem Verfahren zum automati- 
schen Erkennen eines Zugriffsrechts auf geschtitzte Bereiche in einem ersten 
30 Netz unter Verwendung einer eindeutigen Anschlusskennung eines zweiten 
Netzes, insbesondere im Netzverbund des Internets, mit folgenden Verfah- 
rensschritten: dynamische oder statische Zuordnung einer eindeutigen Ken- 
nung des ersten Netzes fGr einen Terminal, bei bzw. vor seinem Verbin- 
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dungsaufbau mit dem ersten Netz, Speichern einer Kombination aus wenigs- 
tens der eindeutigen AnschluRkennung des zweiten Netzes und der eindeuti- 
gen Kennung des ersten Netzes in einer Authentifizierungseinheit Abfragen 
der Authentifizierungseinheit zum Ermitteln der eindeutigen Anschlufckennung 
5 des zweiten Netzes anhand der eindeutigen Kennung des ersten Netzes, 
wenn der Terminal auf den geschutzten Bereich zugreifen mochte, PrOfen, ob 
fur die eindeutige Anschlulikennung des zweiten Netzes ein Zugriffsrecht fur 
den geschOtzten Bereich besteht. Das vorliegende Verfahren ermoglicht somit 
eine sichere automatische, Erkennung von Zugriffsrechten auf geschutzte Be- 

10 reiche in Netzwerken anhand der Kennungen aus zwei unterschiedlichen Net- 
zen. Eine Vorabregistrierung mittels Benutzername und Passwort sowie der 
Angabe personlicher Informationen ist nicht notwendig. Aber selbst bei dem 
Zugriff auf Bereiche die zusatzlich eine Registrierung erfordern, wie zum Bei- 
spiel kostenpflichtige Datenbanken, ermoglicht das erfindungsgemaRe Verfah- 

15 ren, dass der Zugriff nur von bestimmten Netzelementen insbesondere be- 
stimmten TelefonanschlQssen (sowohl Mobil- als auch Festnetz) aus moglich 
1st, was einen Missbrauch selbst bei Verlust Oder bewusster Weitergabe von 
Benutzernamen und Passwort ausschlielit. 

20 GemaB einer bevorzugten AusfQhrungsform der Erfindung enthalt die in der 
aktuellen Authentifizierungseinheit gespeicherte Kombination zusStzliche Da- 
ten, wie beispielsweise die Einwahl-Rufnummer in das Netzwerk, einen Be- 
nutzernamen (Login) und/oder ein Passwort. Diese Daten kOnnen eine noch 
bessere Identifizierung des Terminals ermSglichen, wobei insbesondere der 

25 Benutzername und das Passwort automatisch bei der Einwahl in das Netz- 
werk erzeugt warden kOnnen. 

Bei einer besonders bevorzugten Ausfuhrungsform der Erfindung wird die Au- 
thentifizierungseinheit nur temporar gefQhrt, so dass es sich im Wesentlichen 
3 0 um eine dynamische Einheit handeit. Vorzugsweise wird die Kombination an 
Daten aus der Authentifizierungseinheit geloscht, sobald der Terminal seine 
Verbindung beendet Somit wird sichergestelit, dass ein Zugriff auf den ge- 
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schQtzten Bereich nur solange moglich ist, wie eine Verbindung von der ein- 
deutigen Anschlulikennung zu dem Netzwerk besteht. 

Bei einem Ausfuhrungsbeispiel der Erfindung ist die eindeutige Kennung des 
5 zweiten Netzes eine Anrufrufnummer. Vorzugsweise umfalit der geschQtzte 
Bereich das Bereitstellen eines Online-Einzelverbindungsnachweises, so dass 
der Nutzer von Call-by-Call oder Internet-by-Call Diensten auf seine Verbin- 
dungsnachweise zugreifen kann, ohne sich vorher registrieren zu mQssen. 
Dabei erfolgt der Einzelverbindungsnachweis automatisch fQr die eindeutige 

10 Anschlulikennung des Terminals. Bei einer alternativen AusfQhrungsform der 
Erfindung ist vor Freigabe eines Einzelverbindungsnachweises eine weitere 
Eingabe am Terminal des Nutzers notwendig, urn sicherzustellen, dass nicht 
jeder Terminal, der Zugriff auf ein Bestimmtes Netzelement bzw. einen be- 
stimmten Telefonanschluss besitzt, auch die Verbindungsnachweise dieses 

15 Anschlusses abrufen kann. Beispielsweise umfalit die weitere Eingabe das 
Eingeben einer Rechnungs- und/oder Kundennummer der Telefongesell- 
schaft, und oder einer PIN. 

Urn eine hohe Sicherheit bei der Identifizierung sicherzustellen, und einen 
20 Missbrauch der Authentifizierungseinheit sicherzustellen haben nur autorisier- 
te Dienste Zugriff auf die Authentifizierungseinheit, die sich ggf. bei der Au- 
thentifizierungseinheit vorab registrieren mussen und sich bei der Abfrage i- 
dentifizieren. 

25 Bei einer AusfQhrungsform der Erfindung umfalit der geschQtzte Bereich we- 
nigstens einen der folgenden Dienste: Bereitstellung von Daten (kostenpflich- 
tige Datenbanken), elektronischer Handel (E-Commerce) und Payment. Im E- 
Commerce Bereich kann zwar in der Regel eine Vorabregistrierung eines 
Kunden nicht entfallen, aber die Nutzung der E-Commerce-Dienste kann er- 

30 leichtert werden, da ein Terminal automatisch anhand seiner Anschlussken- 
nung wie z.B. seinem Telefonanschluss, erkannt werden kann. Bei dem Pay- 
ment Dienst konnen Geldbetrage beispielsweise Qber die Telefonrechnung 
eines Kunden abgerechnet werden, z.B. die einmallge Abrechnung eines klei- 
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nen Betrages fQr das Lesen eines bestimmten Zeitungsartikels im Internet. 
Die beim Payment Dienst entstehenden Kosten werden vorzugsweise auto- 
matisch Qber die eindeutige Anschlufikennung abgerechnet. Dabei ermoglicht 
das erfindungsgemaiie Verfahren einen nachtr§glichen exakten Nachweis Q- 
5 ber den Verbindungsaufbau zwischen zwei Netzelementen, den Kontakt, die 
Bestellung und ggf. die Lieferung der erbrachten Leistung auch ohne Regist- 
rierung des jeweiligen Kunden. 

Bei einer weiteren AusfOhrungsform der Erfindung werden im geschutzten Be- 
reich anhand der eindeutigen Anschlulikennung des zweiten Netzes, wie z.B. 
der Anschlussrufnummer oder SIM Karten Adresse, automatisch weitere Da- 
ten des Terminals aufgerufen und/oder weitere Verfahrensschritte eingeleitet. 
Die zusatzlichen Daten konnen sich beispielsweise aus einer Vorabregistrie- 
rung unter der eindeutigen Anschlulikennung ergeben. Solche zusatzlichen 
Daten sind insbesondere im E-Commerce Bereich zweckmaliig, wo ggf. 
Zustell- und Rechnungsadressen eingegeben werden mQssen. Als weitere 
Verfahrensschritte kann z. B. eine automatische Verarbeitung einer Bestel- 
lung erfolgen. Das erfindungsgemaiie Verfahren kann ferner auch in Kombi- 
nation mit der bekannten Authentifizierung mit Benutzernamen und Passwort 
verwendet werden, urn eine noch hOhere Datensicherheit zu erreichen. 

Die der Erfindung zugrundeliegende Aufgabe wird auch bei einem Verfahren 
zum Bereitstellen von Daten fur eine automatische Erkennung von Zugriffs- 
rechten auf geschQtzte Bereiche in Netzen, insbesondere im Netzverbund des 
25 Internets, mit folgenden Verfahrensschritten gelost: Vorsehen von wenigstens 
jeweils einer eindeutigen Kennung aus wenigstens zwei unterschiedlichen 
Netzen wahrend eine Verbindung zu beiden Netzen besteht, Speichern einer 
Kombination der unterschiedlichen Kennungen in einer dynamischen Authenti- 
fizierungseinheit, Ausgeben und/oder Authentifizieren einer der eindeutigen 
30 Kennungen, bei einer entsprechenden Anfrage hinsichtlich der anderen ein- 
deutigen Kennungen, LGschen der Daten aus der dynamischen Authentifizie- 
rungseinheit sobald eine Verbindung mit wenigstens einem der beiden Netze 
beendet wurde. Das erfindungsgemafie Verfahren sieht eine dynamische Au- 
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thentiflzierungseinheit von aktuell im Netzwerk befindlichen Terminals vor, die 
eine Identifizierung eines Terminals anhand seiner eindeutigen Kennung aus 
beiden Netzwerken ermoglicht. Dabei wird die Authentifizierungseinheit in 
Echtzeit gefuhrt, sodass die gespeicherten Daten nur solange vorgehalten 
5 werden, wie der Terminal im Netzwerk ist. Nach Beenden der Verbindung 
werden die Daten umgehend geloscht, urn einen Missbrauch zu verhindern. 

Vorzugsweise ist wenigstens eine der Kennungen eine IP-Nummer und/oder 
eien eindeutigen Anschlulikennung eines Terminals. 

10 

FQr eine erhShte Datensicherheit wird gepruft, dass die Anfrage hinsichtlich 
einer bestimmten IP-Nummer von einem autorisierten Dienst stammt. Hier- 
durch wird sichergestellt, dass die in der Authentifizierungseinheit befindli- 
chen Daten nicht missbrauchlich verwendet werden. 

15 

Fur eine erhohte Datensicherheit sind in der aktuellen Authentifizierungsein- 
heit zu der oben genannten Kombination zusatzliche Daten gespeichert. Die- 
se konnen beispielsweise die Einwahl-Rufnummer, einen Benutzernamen 
(Login) und ein Passwort umfassen. Diese zusatzlichen Daten sehen eine 
20 noch erhohte Identifizierungssicherheit vor. 

Bel einer AusfOhrungsform der Erfindung kann Qber die Authentifizierungsein- 
heit bzw.. die ausgegebene Kennung eine Anruf-Rufnummernsperre oder eine 
Ziel-Rufnummernsperre identifiziert werden. 

25 

Die vorliegende Erfindung wird nachfolgend anhand eine bevorzugten Ausfuh- 
rungsbeispiels der Erfindung unter Bezugnahme auf die Zeichnung nSher er- 
lautert. In der Zeichnung zeigt: 

30 Fig. 1 eine schematische SystemObersicht ftir einen offenen Internet-by-Call 
Dienst eines Telekommunikations-Netzbetreibers. 
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Anhand der Fig. 1 wird das erfindungsgemafte Verfahren bei einer automati- 
schen Erkennung von Zugriffsrechten am Beispiel eines Online Einzelverbin- 
dungsnachweises (EVN) fUr Internet-by-Call Kunden naher erlautert. 

5 Zunachst wird jedoch der allgemeine Abrechnungsmodus bei einem Internet- 
by-Call Dienst beschrieben. Bei einem offenen Internet-by-Call Dienst wahlt 
sich ein Kunde, dessen Anschluss beispielsweise auf die Deutsche Telekom 
AG (DTAG) lauft, uber das Netz der DTAG in das Netzwerk eines entspre- 
chenden Netzbetreibers, der nachfolgend als Anbieter bezeichnet wird, ein. 

10 Die DTAG vermittelt den entsprechenden Anruf in ihrem Netz bis zu einem 
definierten Gbergabepunkt, der auch als point of interconnect (POI) bezeich- 
net wird. An diesem POI wird der Anruf von der DTAG an den Anbieter des 
Internet-by-Cali Dienstes Obergeben. Gegebenenfalls kommt es nun zu einer 
Vermittlung des Anrufs im Netz des Anbieters, und der Anruf wird auf einer 

15 Modembank des Anbieters terminiert. Sofem erforderlich, werden die Kun- 
dendaten, wie beispielsweise ein Benutzername und ein Passwort geprOft und 
anschliefiend wird dem Kunde eine (dynamische) IP-Adresse zugewiesen. 
Nun wird der Anruf auf Basis des Internet-Protokolls (IP) bis zu seiner 
Zieldestination (z.B. dem offentlichen Internet) weitervermittelt. 

20 

Die zur Abrechnung des Anrufs relevanten Daten werden von dem Anbieter 
festgehalten, und zum Inkasso an die DTAG weitergeleitet. 

Der Anbieter bekommt von der DTAG Informationen hiertiber, welche Daten- 

2 5 satze auf welcher Rechnungsnummer (Rechnungsnummer, Kundennummer 

sowie Rechnungsdatum) abgerechnet wurden, ohne dass dem Anbieter die 
Personalien des Kunden bekannt sind. 

Die DTAG listet auf ihren Rechnungen nicht die einzelnen Internet-by-Call An- 

3 0 rufe des Kunden auf f die dieser aber, wie nachfolgend beschrieben wird, On- 

line abfragen kann. 
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Das nachfolgend unter Bezugnahme auf Fig. 1 beschriebene System ermog- 
licht eine automatische anschlussbezogene Authentifizierung eines Kunden, 
urn den Zugr'rfT auf einen Online-Einzelverbindungsnachweis eines Internet- 
by-Call Anbieters zu ermoglichen. 

5 

Block 1 In Fig. 1 stellt das Telekommunikationsnetz auBerhalb des Netzwerks 
des Anbieters dar. Im Block 1 erfolgt somit die Einwahl und die Vermittlung 
des Anrufs bis zum POI des Internet-by-Call Anbieters. 

10 Das System des Netzanbieters ist durch einen gestrichelten Kasten 2 in Fig. 1 
dargestellt. 

Der Block 4 in Fig. 1 reprasentiert einen Switch, in dem die zur Abrechnung 
des Kunden relevanten Daten erzeugt werden. Diese Kundendaten, die als 

15 Call-Data-Records (CDR) bezeichnet werden, enthalten z.B. die eindeutige 
Anschlufikennung des Kunden, die Einwahl-Rufnummer in das Netzwerk des 
Anbieters und die Start- sowie die Endzeit des Anrufs. Diese Daten werden im 
Netz des Anbieters zu einem Berechnungssystem im Block 6 weitergeleitet, 
das die Kosten fiir den jeweiligen Anruf berechnet. Die berechneten Kosten 

20 werden unter Angabe der eindeutigen AnschlulSkennung an die DTAG im 
Block 8 ubermittelt. Die DTAG stellt diese Kosten nachfolgend dem Kunden 
des jeweiligen Anschlusses der eindeutigen AnschluBkennung in Rechnung 
und liefert Daten betreffend die Rechnungsstellung zurOck an das Berech- 
nungssystem im Block 6. Diese Daten enthalten beispielsweise die Rech- 

25 nungsnummef, die Kundennummer sowie das Rechnungsdatum. Nicht enthal- 
ten sind die persflnlichen Daten des Kunden. 

Vom Block 6 werden die berechneten Kosten gemeinsam mit den CDR-Daten 
zu einem netzinternen Datenbankserver im Block 10 ubermittelt Diese Ober- 
3 0 mittlung kann sofort Oder erst nach Erhalt der Rechnungsdaten durch die 
DTAG erfolgen. Wenn die Obermittlung der Daten sofort erfolgt, werden die 
spater von der DTAG zurilckgesandten Rechnungsdaten nach Erhalt nach- 
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traglich an den Datenbankserver 10 ubermittelt, welche diese Daten dann 
kumuliert bzw.gesteuert 



Der Switch im Block 4 leitet einen Teil der CDR-Daten f namlich die eindeutige 
5 Anschlufikennung und die Einwahl-Rufnummer an eine Modembank im Block 
12 wetter, wo der Anruf terminiert wird. Von der Modembank im Block 12 wer- 
den die Daten an einen Server im Block 14 ubermittelt. Dort wird eine aktuelle 
IP-Adresse fOr den Anruf verteilt. Die aktuelle IP-Adresse, sowie die dazuge- 
horige eindeutige Anschlufikennung und die Einwahl-Rufnummer werden an- 

10 schlieBend an eine Authentifizierungseinheit im Block 16 weitergeleitet. Wenn 
der Anruf beendet ist, d.h. die Verbindung zwischen dem Netzwerk des Anbie- 
ters und dem Kunden getrennt wird, teilt der Switch im Block 4 der Modem- 
bank im Block 12 mit, dass der Anruf beendet wird. Der entsprechende Platz 
an der Modembank wird freigegeben, und die Modembank teilt dem Server im 

15 Block 14 unter Angabe der entsprechenden IP-Adresse mit, dass der Anruf 
beendet wurde. Der Server im Block 14 wiederum Obertrflgt diese Information 
sofort an die Authentifizierungseinheit, in der die Daten aus IP-Adresse, ein- 
deutiger Anschlufikennung und Einwahl-Rufnummer sofort geloscht werden. 
Die Authentifizierungseinheit beinhaltet somit eine dynamische Datenbank, in 

20 der jeweils nur aktuelle Authentifizierungsdaten gespeichert sind, d.h. Daten 
betreffend eine aktuelle Verbindung zwischen einem Anschluss eines Kunden 
(eindeutigen Anschlufikennung) und einem Einwahlpunkt des Netzwerkes 
(Einwahl-Rufnummer) sowie die dynamisch zugewiesene IP-Adresse. Diese 
bestimmte Kombination an Daten wird nur solange gespeichert, wie eine tat- 

25 sSchliche Verbindung zu einem Anschluss des Kunden besteht. 



Mochte ein Kunde nun seine Rechnungsdaten Online einsehen, so wird er im 
Netzwerk des Anbieters die entsprechende Internetseite, die Zugriff auf den 
Datenbankserver im Block 10 besitzt, Qber ein Webinterface im Block 20 auf- 
3 0 rufen. Ober das Webinterface wird der Datenbankserver 10 zwar die aktuell 
zugewiesene IP-Nummer des Kunden mitgeteilt, nicht jedoch dessen eindeu- 
tigen Anschlufikennung. Der Datenbankserver im Block 10 stellt daher eine 
Anfrage an die Authentifizierungseinheit im Block 16, urn festzustellen, ob die 
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bei der Anfrage verwendete IP-Adresse des Kunden eine aktuelle IP-Adresse 
darstellt, und ferner, welchem Anschluss, d.h. welcher eindeutigen AnschluB- 
kennung, die IP-Adresse zugewlesen wurde. Wenn es sich um eine aktuelle 
IP-Adresse handelt, wird die Datenkombination aus der Authentifizierungsein- 
5 heit an den Datenbankserver im Block 10 geliefert, und der Datenbankserver 
kann nun die der eindeutigen AnschluBkennung zugehorigen Einzelverbin- 
dungsnachweise herausfiltern und zur Einsicht freigeben. Gegebenenfalls 
kSnnen auch zusStzliche Informationen, wie beispielsweise eine PIN und/oder 
eine Rechnungs- und/oder Kundennummer der DTAG angefordert werden, um 
10 die Information hinsichtlich des Einzelverbindungsnachweises auch nur der 
Person bzw. dem Terminal zur VerfQgung zustellen, die bzw. der tatsachiich 
Zugriff auf die Rechnung der DTAG besitzt 

Das wesentliche Merkmal fOr eine sichere, anschlussbezogene Identifizierung 
15 eines Terminals ist das Vorsehen der dynamischen Authentifizierungseinheit, 
die nur Daten fOr aktuell bestehende Verbindungen enthait, und somit eine 
hohe Sicherheit gegen Missbrauch bietet. 

Obwohl die vorliegende Erfindung speziell anhand eines Online Einzelverbin- 
20 dungsnachweises beschrieben wurde, ist die anschlussbezogene Authentifi- 
zierung von Zugriffsrechten natOrllch auch auf andere Gebiete ausweitbar. 
Beispielsweise konnte ein beliebiger netzinterner oder auch netzexterner 
Dienst auf die Authentifizierungseinheit zugreifen, um festzustellen, ob und 
welchem Telefonanschluss (eindeutige AnschluBkennung) eine bestimmte IP- 
25 Adresse aktuell zugewiesen ist. Die eindeutige AnschluBkennung laBt nun- 
mehr eine anschlussbezogene Authentifizierung durch den jeweiligen Dienst 
zu. Dabei dOrfen natQrlich nur bestimmte registrierte Dienste auf die Authenti- 
fizierungseinheit zugreifen, die sich auch jeweils gesondert identifizieren mQs- 
sen, um einen Missbrauch der Authentifizierungseinheit zu verhindern. 

30 

Solche Dienste sind beispielsweise Payment Dienste, welche BetrSge Qber 
ein entsprechendes Inkassosystem Qber die Telefonrechnung der DTAG ab- 
rechnen. Eine derartige Abrechnung erfolgt beispielsweise beim kostenpflich- 
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tigen Lesen bestimmter Zeitungsartikel im Internet. Ein Nachweis Qber das 
Zustandekommen der Verbindung, die Bestellung, die Lieferung und somit fur 
die Durchsetzung von Zahlungsanspruchen bzw. Lieferverpfiichtungen ist so- 
mit Qber das obige Authentifizierungsverfahren auch bei "anonymen" Endkun- 
den moglich. 

Eine weitere MOglichkeit der Nutzung einer anschlussbezogenen Authentifi- 
zierung ist die ldentifizierung durch E-Commerce Anbieter. Bei Bestellungen 
oder Anfragen an E-Commerce Anbieter konnen diese automatisch eine an- 
schlussbezogene Authentifizierung vornehmen und somit Bestellungen ein- 
deutig zuordnen. Dies ist insbesondere beim Kauf virtueller Produkte (z.B. 
Digitale Bucher, Ton- und Filmaufnahmen) Vorteilhaft, da hier die Lieferadres- 
se keine Kontrolle darstellt. Eine weitere Authentifizierung Qber Benutzername 
und Kennwort kann dann entfallen oder zusatzlich eingesetzt werden, um eine 
noch hohere Sicherheit zu bieten. Anhand der anschlussbezogenen Authenti- 
fizierung kann der E-Commerce Anbieter weitere relevante Daten des Kunden 
aufrufen, sofern der Kunde mit der eindeutigen Anschlulikennung registriert 
ist. 

E-Commerce Anbieter und auch Anbieter anderer Inhalte konnen verschiede- 
ne eindeutige Anschluftkennungen beim Netzbetreiber sperren lassen, um zu 
verhindern, dass weitere Transaktionen von diesen AnschlQssen aus vorge- 
nommen werden, Insofern sieht die anschlussbezogene Authentifizierung ei- 
nen Schutz gegen Missbrauch vor. 

Ein weiteres Beispiel, bei dem die anschlussbezogene Authentifizierung von 
besonderem Nutzen sein kann, ist die Registrierung bei bestimmten Diensten 
Qber die eindeutige AnschluRkennung. Der Kunde kann beispielsweise seinen 
Anschluss fQr bestimmte Dienste freischalten lassen, und erhalt daraufhin ei- 
nen automatisch erzeugten Code, den er in Zukunft im Nachwahlverfahren an 
die Einwahl-Rufnummer anhangt. Mittels dieses Codes kann der entspre- 
chenden eindeutigen Anschlufikennung ein bestimmter Satz an Diensten zu- 
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geordnet werden, die fur diese eindeutige AnschlulXkennung genehmigt sind 
(z.B. nuronline-tarifierte Dienste, keine XXX-Dienste). 

Auch bei einem Online-Behordengang kann der Nutzer bzw. ein Terminal si- 
5 cher identifiziert werden, um Missbrauch zu vermeiden. Die anschlussbezo- 
gene Identifizierung kann in vielen Fallen eine elektronische Signatur ersetzen 
und ermSglicht ferner die Obertragung von aus den Telefonnetzen bekannten 
Zahlungsmodellen auf die Datennetze. 

10 Die anschlussbezogene Identifizierung ermSglicht allgemein das zur VerfQ- 
gung stellen von Inhalten unter Ausschluli Dritter ohne eine weitere Authenti- 
fizierung sowie das Sperren von Inhalten fQr eine eindeutige Anschluliken- 
nung. Anhand der anschlusstechnischen Information lasst sich ferner QberprQ- 
fen, ob eine bestimmte Leistung fQr diesen Anschluss sinnvoll ist. So macht 

15 es keinen Sinn, einen Videostream auf ein GSM-Handy zu Qbertragen, w3h- 
rend dies fQr ein UMTS Endgerat oder einen Festnetzanschluss mit Terminal 
durchaus sinnvoll sein kann. 

Die vorliegende Erfindung ist nicht auf das konkret ausgefOhrte Ausfiihrungs- 
20 beispiel und die oben genannten Beispiele beschrankt Vielmehr sieht sie all- 
gemein eine automatische Authentifizierung eines Terminals in Netzwerken, 
insbesondere im Netzverbund des Internets vor, bei der wenigstens zwei 
Kennungen aus wenigstens zwei unterschiedlichen Netzen eingesetzt werden. 
Die Authentifizierung kann fQr verschiedene Zwecke eingesetzt werden. 

25 
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PatentansprUche 



1 Verfahren zum automatischen Erkennen eines Zugriffsrechts auf ge- 
schQtzte Bereiche in einem ersten Netz unter Verwendung einer ein- 
deutigen Anschlusskennung eines zweiten Netzes, insbesondere im 
Netzverbund des Internets, mit folgenden Verfahrensschritten: 

- dynamische oder statische Zuordnung einer eindeutigen Kennung 
des ersten Netzes fur einen Terminal, bei bzw. vor seinem Verbin- 
dungsaufbau mlt dem ersten Netz; 

- Speichern einer Kombination aus wenigstens der eindeutigen 
Anschlufikennung des zweiten Netzes und der eindeutigen Ken- 
nung des ersten Netzes in einer Authentifizierungseinheit; 

- Abfragen der Authentifizierungseinheit zum Ermitteln der eindeuti- 
gen Anschlulikennung des zweiten Netzes anhand der eindeutigen 
Kennung des ersten Netzes, wenn der Terminal auf den geschutz- 
ten Bereich zugreifen mochte; 

Priifen, ob fOr die eindeutige AnschlufJkennung des zweiten Netzes 
ein Zugriffsrecht fOr den geschQtzten Bereich besteht. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die in der 
aktuellen Authentifizierungseinheit gespeicherte Kombination zusatzlich 
weitere Daten enthalt. 

3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die zusStz- 
lichen Daten wenigstens eines der folgenden aufweisen: die Einwahl- 
Rufnummer in das erste Netzwerk, einen Benutzernamen (Login) und 
ein Passwort. 

4. Verfahren nach einem der vorhergehenden AnsprQche, dadurch ge- 
kennzeichnet, dass die Authentifizierungseinheit nurtemporar gefuhrt 
wird. 
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5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass die Kombi- 
nation an Daten aus der Authentifizierungseinheit geldscht wird, sobald 
der Terminal seine Verbindung mit einem der beiden Netze beendet. 

6. Verfahren nach einem der vorhergehenden Anspruche, dadurch ge- 
kennzeichnet, dass die eindeutige Kennung des zweiten Netzes eine 
Anrufrufnummer ist. 

7. Verfahren nach einem der vorhergehenden Anspruche, dadurch ge- 
kennzeichnet, dass der geschQtzte Bereich das Bereitstellen eines On- 
line Einzelverbindungsnachweises umfalit. 

8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass ein Einzel- 
verbindungsnachweis automatisch fur die eindeutige Anschlufikennung 
des zweiten Netzes erfolgt. 

9. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass vor Freiga- 
be eines Einzelverbindungsnachweises zusatzliche eine weitere Einga- 
be am Terminal notwendig ist. 

10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass die weitere 
Eingabe das Eingeben einer Rechnungsnummer und/oder einer Kun- 
dennummer und/oder einer PIN umfalit. 

1 1 . Verfahren nach einem der vorhergehenden AnsprOche, dadurch ge- 
kennzeichnet, dass nur autorisierte Dienste Zugriff auf die Authentifizie 
rungseinheit haben. 

12. Verfahren nach einem der vorhergehenden Ansprtlche, dadurch ge- 
kennzeichnet, dass der geschQtzte Bereich wenigstens einen der fol- 
genden Dienste beinhaltet: Bereitstellen von Inhalten, elektronischer 
Handel (E-commerce), Payment bzw. Zahiungsdienste und Behdrden- 
dienste. 



WO 2004/057824 




T/EP2003/014632 



13. Verfahren nach Anspruch 12, dadurch gekennzeichnet, dass bei einem 
Payment Dienst die entstehenden Kosten automatisch Qber die eindeu- 
tige AnschluBkennung des zweiten Netzes abgerechnet werden. 

14. Verfahren nach einem der vorhergehenden Anspruche, dadurch ge- 
kennzeichnet, dass im geschQtzten Bereich anhand der eindeutigen 
Anschluftkennung des zweiten Netzes automatisch weitere Daten des 
Terminals aufgerufen werden und/oder weitere Verfahren sschritte ein- 
geleitet werden. 

15. Verfahren nach einem der vorhergehenden Anspruche, dadurch ge- 
kennzeichnet, dass eine weitere Personalisierung des Terminals Qber 
die Eingabe einer PIN erfolgt. 

16. Verfahren zum Bereitstellen von Daten fur eine automatische Erken- 
nung von Zugriffsrechten auf geschOtzte Bereiche in Netzen, insbeson- 
dere im Netzverbund des Internets, mitfolgenden Verfahrensschritten: 

- Vorsehen von wenigstens jeweils einer eindeutigen Kennung aus 
wenigstens zwei unterschiedlichen Netzen wahrend eine Verbin- 
dung zu beiden Netzen besteht; 

- Speichern einer Kombination der unterschiedlichen Kennungen in 
einer Authentifizierungseinheit; 

Ausgeben und/oder Authentifizieren einer der eindeutigen Kennun- 
gen, bei einer entsprechenden Anfrage hinsichtlich der anderen 
eindeutigen Kennungen; 

Loschen der Daten aus der Authentifizierungseinheit sobald eine 
Verbindung mit wenigstens einem der beiden Netze beendet wurde. 

17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass wenigs- 
tens eine der Kennungen eine IP-Nummer und/oder eine eindeutige 
Anschlufikennung eines Terminals ist. 
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18. Verfahren nach Anspruch 16 oder 17, dadurch gekennzeichnet, dass 
gepriift wird, ob die Anfrage von einer autorisierten Stelle bzw. einem 
autorislerten Dienst stammt. 



5 19. Verfahren nach einem der AnsprQche 16 bis 18, dadurch gekennzeich- 
net, dass die in der aktuellen Authentifizierungseinheit gespeicherte 
Kombination zusatzlich weitere Daten enthalt. 

20. Verfahren nach Anspruch 19, dadurch gekennzeichnet, dass die zu- 
lo satzlichen Daten wenigstens eines der folgenden aufweisen: eine Ein- 

wahl-Rufnummer in eines der Netze, einen Benutzernamen (Login) und 
ein Passwort. 

21. Verfahren nach einem der AnsprQche 16 bis 20, dadurch gekennzeich- 
L5 net, dass Qber die Authentifizierungseinheit eine Anruf-Rufnummern- 

sperre oder eine Ziel-Rufnummernsperre identifiziert wird. 
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